APT-C-23

APT-C-23 es el nombre asignado a un grupo de piratas informáticos de amenazas persistentes avanzadas (APT). El mismo grupo también se conoce como escorpión de dos colas o escorpión del desierto. Se ha observado que los piratas informáticos llevan a cabo varias campañas de amenazas dirigidas contra usuarios ubicados en el Medio Oriente. APT-C-23 utiliza herramientas de Windows y Android en sus operaciones.

Las actividades del grupo fueron detalladas por primera vez por los investigadores de Qihoo 360 Technology en marzo de 2017. El mismo año, varios equipos de investigación de seguridad de la información comenzaron a detectar diferentes herramientas troyanas de robo de información que se han atribuido a APT-C-23:

• Palo Alto Networks describió una amenaza que llamaron VAMP
• Lookout analizó un troyano al que llamaron FrozenCell
• TrendMicro descubrió la amenaza GnatSpy

En 2018, Lookout logró detectar una de las herramientas troyanas características en el arsenal de APT-C-23 a la que llamaron Desert Scorpion. Se informa que la campaña que involucra a Desert Scorpion se ha dirigido a más de 100 objetivos de Palestina. Los piratas informáticos habían logrado infiltrar su amenaza de malware en la tienda oficial de Google Play, pero se basaron en numerosas tácticas de ingeniería social para atraer a sus víctimas a descargarlo. Los delincuentes crearon un perfil de Facebook para una mujer falsa que se utilizó para promover los enlaces que conducen a la aplicación de mensajería amenazante llamada Dardesh. La campaña Desert Scorpion involucró uno de los procedimientos característicos asociados con APT-C-23: la separación de la funcionalidad amenazante del ataque en varias etapas, ya que la aplicación Dardesh actuó simplemente como un cuentagotas de primera etapa que entregó la carga útil real de la segunda etapa.

ATP-23-C reanudó su actividad a principios de 2020, ya que estaban asociados con una campaña de ataque contra soldados de las FDI (Fuerza de Defensa de Israel). Los piratas informáticos no se desviaron de sus operaciones estándar y una vez más utilizaron aplicaciones de mensajería para entregar amenazas troyanas que roban información. Las aplicaciones amenazantes fueron promovidas por sitios web específicamente diseñados que fueron diseñados para anunciar las funciones falsas de las aplicaciones y proporcionar enlaces de descarga directa que las víctimas objetivo podrían usar.

La última operación atribuida a ATP-23-C implica el uso de una versión muy mejorada de su herramienta troyana que los investigadores de ESET denominaron Android / SpyC23.A . Los piratas informáticos todavía están enfocados en la misma región con su herramienta amenazante que se hace pasar por la aplicación WeMessage que se detecta en los dispositivos de los usuarios ubicados en Israel. Además de la gama normal de funciones que se esperan de un moderno troyano ladrón de información, Android / SpyC23.A ha sido equipado con varias nuevas y poderosas capacidades. Puede iniciar llamadas mientras oculta su actividad detrás de una pantalla negra que se muestra en el dispositivo comprometido. Además, el troyano es capaz de descartar varias notificaciones de diferentes aplicaciones de seguridad de Android que dependen del modelo o fabricante específico del dispositivo infiltrado. Una característica única de Android / SpyC23.A es su capacidad para descartar sus PROPIAS notificaciones. Según los investigadores, esta función podría ser útil para ocultar ciertas alertas de error que podrían aparecer durante las actividades en segundo plano del troyano.

ATP-23-C es un grupo de hackers sofisticado bastante prolífico que muestra la tendencia a desarrollar constantemente sus herramientas de malware, así como a emplear estrategias de ingeniería social diseñadas para grupos de usuarios específicos.